Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR

• Dotyczy:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Gdy dołączasz usługę Microsoft Sentinel do portalu usługi Microsoft Defender, ujednolicasz możliwości za pomocą usługi Microsoft Defender XDR, takie jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń. Zmniejsz przełączanie narzędzi i skompiluj bardziej ukierunkowane na kontekst badanie, które przyspiesza reagowanie na zdarzenia i szybciej zatrzymuje naruszenia. Więcej informacji można znaleźć w następujących artykułach:

• Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
• Ujednolicona platforma operacji zabezpieczeń z usługami Microsoft Sentinel i Defender XDR

Wymagania wstępne

Przed rozpoczęciem zapoznaj się z dokumentacją funkcji, aby zrozumieć zmiany i ograniczenia produktu:

• Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
• Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
• Alerty, zdarzenia i korelacja w usłudze Microsoft Defender XDR
• Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń

Portal usługi Microsoft Defender obsługuje pojedynczą dzierżawę usługi Microsoft Entra i połączenie z jednym obszarem roboczym jednocześnie. W kontekście tego artykułu obszar roboczy jest obszarem roboczym usługi Log Analytics z włączoną usługą Microsoft Sentinel.

Aby dołączyć usługę Microsoft Sentinel i korzystać z niej w portalu usługi Microsoft Defender, musisz mieć następujące zasoby i dostęp:

• Obszar roboczy usługi Log Analytics z włączoną usługą Microsoft Sentinel

• Łącznik danych dla usługi Microsoft Defender XDR (wcześniej o nazwie Microsoft 365 Defender) włączony w usłudze Microsoft Sentinel na potrzeby zdarzeń i alertów. Aby uzyskać więcej informacji, zobacz Łączenie danych z usługi Microsoft Defender XDR do usługi Microsoft Sentinel.

• Dostęp do usługi Microsoft Defender XDR w portalu usługi Defender

• Usługa Microsoft Defender XDR dołączona do dzierżawy usługi Microsoft Entra

• Konto platformy Azure z odpowiednimi rolami do dołączania, używania i tworzenia żądań pomocy technicznej dla usługi Microsoft Sentinel w portalu usługi Defender. W poniższej tabeli przedstawiono niektóre z kluczowych ról.

  Zadanie	Wymagana rola wbudowana platformy Azure	Zakres
  Łączenie lub rozłączanie obszaru roboczego z włączoną usługą Microsoft Sentinel	Właściciel lub administrator dostępu użytkowników i współautor usługi Microsoft Sentinel	— Subskrypcja dla ról właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla współautora usługi Microsoft Sentinel
  Wyświetlanie usługi Microsoft Sentinel w portalu usługi Defender	Czytelnik usługi Microsoft Sentinel	Subskrypcja, grupa zasobów lub zasób obszaru roboczego
  Wykonywanie zapytań dotyczących tabel danych usługi Sentinel lub wyświetlanie zdarzeń	Czytelnik usługi Microsoft Sentinel lub rola z następującymi akcjami: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Subskrypcja, grupa zasobów lub zasób obszaru roboczego
  Podjęcie działań dochodzeniowych w sprawie zdarzeń	Współautor usługi Microsoft Sentinel lub rola z następującymi akcjami: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Subskrypcja, grupa zasobów lub zasób obszaru roboczego
  Tworzenie wniosku o pomoc techniczną	Właściciel, współautor lub współautor żądania pomocy technicznej lub rola niestandardowa w witrynie Microsoft.Support/*	Subskrypcja

  Po połączeniu usługi Microsoft Sentinel z portalem Usługi Defender istniejące uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure umożliwiają pracę z funkcjami usługi Microsoft Sentinel, do których masz dostęp. Kontynuuj zarządzanie rolami i uprawnieniami użytkowników usługi Microsoft Sentinel w witrynie Azure Portal. Wszelkie zmiany rbac platformy Azure są odzwierciedlane w portalu usługi Defender. Aby uzyskać więcej informacji na temat uprawnień usługi Microsoft Sentinel, zobacz Role i uprawnienia w usłudze Microsoft Sentinel | Microsoft Learn i zarządzanie dostępem do danych usługi Microsoft Sentinel według zasobów | Microsoft Learn.

Dołączanie usługi Microsoft Sentinel

Aby połączyć obszar roboczy z włączoną usługą Microsoft Sentinel z usługą Defender XDR, wykonaj następujące kroki:

1. Przejdź do portalu usługi Microsoft Defender i zaloguj się.

2. W usłudze Microsoft Defender XDR wybierz pozycję Przegląd.

3. Wybierz pozycję Połącz obszar roboczy.

4. Wybierz obszar roboczy, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Dalej.

5. Zapoznaj się ze zmianami produktu skojarzonymi z nawiązywaniem połączenia z obszarem roboczym i zapoznaj się z nimi. Zmiany te obejmują:

   • Tabele dzienników, zapytania i funkcje w obszarze roboczym usługi Microsoft Sentinel są również dostępne w zaawansowanym wyszukiwaniu w usłudze Defender XDR.
   • Rola Współautor usługi Microsoft Sentinel jest przypisywana do aplikacji Microsoft Threat Protection i WindowsDefenderATP w ramach subskrypcji.
   • Aktywne reguły tworzenia zdarzeń zabezpieczeń firmy Microsoft są dezaktywowane, aby uniknąć zduplikowanych zdarzeń. Ta zmiana dotyczy tylko reguł tworzenia zdarzeń dla alertów firmy Microsoft, a nie innych reguł analizy.
   • Wszystkie alerty związane z produktami Defender XDR są przesyłane strumieniowo bezpośrednio z głównego łącznika danych XDR usługi Defender w celu zapewnienia spójności. Upewnij się, że w obszarze roboczym włączono zdarzenia i alerty z tego łącznika.

6. Wybierz pozycję Połącz.

Po nawiązaniu połączenia z obszarem roboczym baner na stronie Przegląd pokazuje, że ujednolicone informacje o zabezpieczeniach i zarządzanie zdarzeniami (SIEM) oraz rozszerzone wykrywanie i reagowanie (XDR) są gotowe. Strona Przegląd została zaktualizowana o nowe sekcje, które zawierają metryki z usługi Microsoft Sentinel, takie jak liczba łączników danych i reguł automatyzacji.

Eksplorowanie funkcji usługi Microsoft Sentinel w portalu usługi Defender

Po połączeniu obszaru roboczego z portalem usługi Defender usługa Microsoft Sentinel znajduje się w okienku nawigacji po lewej stronie. Strony takie jak Przegląd, Zdarzenia i Zaawansowane wyszukiwanie zagrożeń mają ujednolicone dane z usług Microsoft Sentinel i Defender XDR. Aby uzyskać więcej informacji na temat ujednoliconych możliwości i różnic między portalami, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wiele istniejących funkcji usługi Microsoft Sentinel jest zintegrowanych z portalem usługi Defender. W przypadku tych funkcji zwróć uwagę, że środowisko między usługą Microsoft Sentinel w witrynie Azure Portal a portalem usługi Defender jest podobne. Poniższe artykuły ułatwiają rozpoczęcie pracy z usługą Microsoft Sentinel w portalu usługi Defender. Podczas korzystania z tych artykułów należy pamiętać, że punktem wyjścia w tym kontekście jest portal usługi Defender , a nie witryna Azure Portal.

• Szukać
  • Wyszukiwanie w długich przedziałach czasu w dużych zestawach danych
  • Przywracanie zarchiwizowanych dzienników z wyszukiwania
• Zarządzanie zagrożeniami
  • Wizualizowanie i monitorowanie danych przy użyciu skoroszytów
  • Przeprowadzanie kompleksowego wyszukiwania zagrożeń za pomocą polowań
  • Używanie zakładek wyszukiwania zagrożeń do badania danych
  • Wykrywanie zagrożeń za pomocą transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel
  • Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
  • Zbiorcze dodawanie wskaźników do analizy zagrożeń usługi Microsoft Sentinel z pliku CSV lub JSON
  • Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel
  • Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK
• Zarządzanie zawartością
  • Odnajdywanie zawartości wbudowanej w usługę Microsoft Sentinel i zarządzanie nią
  • Katalog centrum zawartości usługi Microsoft Sentinel
  • Wdrażanie zawartości niestandardowej z repozytorium
• Konfiguracja
  • Znajdowanie łącznika danych usługi Microsoft Sentinel
  • Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń
  • Praca z regułami analizy wykrywania niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel
  • Tworzenie list obserwowanych
  • Zarządzanie listami obserwowanych w usłudze Microsoft Sentinel
  • Tworzenie reguł automatyzacji
  • Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów zawartości

Znajdź ustawienia usługi Microsoft Sentinel w portalu usługi Defender w obszarzeUstawienia>systemu>Microsoft Sentinel.

Odłączanie usługi Microsoft Sentinel

Jednocześnie z portalem usługi Defender może być połączony tylko jeden obszar roboczy. Jeśli chcesz nawiązać połączenie z innym obszarem roboczym z włączoną usługą Microsoft Sentinel, odłącz bieżący obszar roboczy i połącz inny obszar roboczy.

1. Przejdź do portalu usługi Microsoft Defender i zaloguj się.

2. W portalu usługi Defender w obszarze System wybierz pozycję Ustawienia>usługi Microsoft Sentinel.

3. Na stronie Obszary robocze wybierz połączony obszar roboczy i Odłącz obszar roboczy.

4. Podaj powód rozłączania obszaru roboczego.

5. Potwierdź wybór.

   Po rozłączeniu obszaru roboczego sekcja usługi Microsoft Sentinel zostanie usunięta z nawigacji po lewej stronie portalu usługi Defender. Dane z usługi Microsoft Sentinel nie są już uwzględniane na stronie Przegląd.

Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, na stronie Obszary robocze wybierz obszar roboczy i połącz obszar roboczy.

Zawartość pokrewna

• Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
• Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
• Automatyczne zakłócenie ataku w usłudze Microsoft Defender XDR
• Badanie zdarzeń w usłudze Microsoft Defender XDR
• Optymalizowanie operacji zabezpieczeń